WordPress のコア本体は安全ですか？

コア本体のリスクは相対的に小さいと言えます。Patchstack の 2025 年レポートでは、報告された新規脆弱性 11,334 件のうちコア本体はわずか 6 件で、いずれも低優先度でした。91% はプラグイン、9% はテーマ起因です。ただしコアも更新を放置すると将来の脆弱性にさらされるため、自動更新を有効にしておくのが基本です。

プラグインは何個までなら安全ですか？

「何個まで」という安全な上限はありません。重要なのは数そのものより、一つひとつが「いま実際に使われているか」「更新が継続されているか」「出所が信頼できるか」です。使っていないプラグインは個数に関わらず削除します。攻撃される面積は、有効・無効を問わずインストールされている部品の数で決まります。

有料プラグインやテーマなら安全ですか？

有料であることは安全性を保証しません。Patchstack の 2025 年データでは、テーマ起因の脆弱性も全体の 9% を占めており、有料テーマも例外ではありません。判断基準は価格ではなく、開発元が脆弱性報告に迅速に対応し、更新を継続しているかどうかです。

更新するとサイトが壊れそうで怖いです。どうすればよいですか？

更新を止めることは、既知の脆弱性を放置することと同じで、より大きなリスクになります。現実的な進め方は、更新前にバックアップを取る、可能ならステージング環境で先に試す、そのうえで本番に適用する、という手順です。怖いから更新しないのではなく、安全に更新できる手順を整えるのが正しい対処です。

セキュリティプラグインを入れれば対策は完了しますか？

セキュリティプラグインは補助にはなりますが、それだけで完了とは言えません。OWASP Top 10:2025 の上位はアクセス制御の不備と設定ミスで、これらはプラグイン任せにできない運用と設計の問題です。プラグインの整理・更新・アクセス制御・サーバー設定という基礎を固めたうえで、セキュリティプラグインを上乗せするのが正しい順序です。

Insight ／安全なサイト

WordPress のセキュリティで最低限やること

2026 年 5 月 15 日公開最終更新 2026 年 5 月 15 日読了目安 9 分

本記事のテーマ：WordPress（オープンソースの CMS）

この記事の結論

WordPress のリスクはコア本体ではなく、後から追加した部品に集中します。Patchstack 2025 では新規脆弱性の91% がプラグイン、9% がテーマ、コア本体は 6 件のみでした。最低限やるべきは①プラグインを整理する ②更新を放置しない ③アクセス制御を固める ④サーバー設定を整えること。専門ツールより、この基礎が効きます。

図 1：WordPress のリスクはコア本体ではなく、プラグインとテーマというサードパーティ部品に集中している。

1. リスクの所在 — コアではなく「追加した部品」

「WordPress は危険」とよく言われますが、これは正確ではありません。セキュリティ企業 Patchstack の「State of WordPress Security in 2025」によれば、2025 年に WordPress エコシステムで報告された新規脆弱性 11,334 件のうち、コア本体はわずか 6 件でした。

残りの内訳は、91% がプラグイン、9% がテーマです。つまり危険なのは WordPress 本体ではなく、後から追加した部品です。同レポートでは新規脆弱性が前年比 42% 増とされており、追加する部品が増えるほどリスクも積み上がる構図が見えます。

これは対策にとって良い知らせでもあります。守るべき対象が「自分で選んで入れた部品」に絞られるなら、対策の方向もはっきりするからです。この記事では、中小企業が専門ツールなしで着手できる 4 つの基礎を順に解説します。

2. やること 1 — プラグインを整理する

最初にやるべきは、いま入っているプラグインの棚卸しです。リスクの 91% がプラグイン起因である以上、ここを整理することが最も効きます。判断基準は「いま実際に使っているか」「更新が継続されているか」「出所が信頼できるか」の 3 つです。

使っていないプラグインは、有効・無効を問わず削除します。無効化しただけのプラグインもファイルはサーバーに残り、脆弱性があれば攻撃の入口になり得るからです。攻撃される面積は、インストールされている部品の数で決まります。

新しくプラグインを入れるときは、最終更新日とサポート状況を確認します。長く更新が止まっているプラグインは、脆弱性が見つかっても修正されない可能性が高いものです。「便利そうだから」で増やさず、必要な機能に絞り込む姿勢が安全につながります。

図 2：プラグインは「使用中か・更新が続くか・出所が信頼できるか」の 3 点で棚卸しする。

3. やること 2 — 更新を放置しない

更新は、見つかった脆弱性をふさぐための最も基本的な手段です。自動スキャン型の攻撃が狙うのは、まさに「更新されないまま放置されたサイト」です。脆弱性の情報は公開されるため、更新しないことは「攻撃方法が公開された穴を開けたままにする」のと同じ意味になります。

「更新するとサイトが壊れそうで怖い」という声はよく聞きます。しかし更新を止めることは、より大きなリスクを選ぶことです。正しい対処は更新しないことではなく、安全に更新できる手順を整えることにあります。

現実的な手順は、更新前にバックアップを取る、可能ならステージング環境（本番と同じ構成の試験環境）で先に試す、問題なければ本番に適用する、という流れです。コア・プラグイン・テーマのうち、自動更新にできるものは有効にしておくと、放置のリスクを下げられます。

4. やること 3 — アクセス制御を固める

OWASP（オープンな WEB セキュリティ団体）の「OWASP Top 10:2025」で 1 位は、アクセス制御の不備です。WordPress でいえば、管理画面（ログイン画面）と、誰がどの権限を持つかの設計がこれに当たります。

具体的には、管理者アカウントに推測されやすい名前を使わない、パスワードを強固にする、ログインに二要素認証を加える、ユーザーごとの権限を「必要な分だけ」に絞る、といった対策です。投稿だけする人に管理者権限を与えない、退職した担当者のアカウントを残さない、といった運用面の見直しも含まれます。

これらは新しいツールを買う話ではなく、「誰が何をできるか」の境界を引き直す作業です。アクセス制御は WordPress に限らず WEB セキュリティの土台であり、その全体像はWEB セキュリティ 5 原則で詳しく扱っています。

図 3：アクセス制御は「誰が何をできるか」の境界を引き直す作業。新しいツールは不要。

5. やること 4 — サーバー設定を整える

OWASP Top 10:2025 で 2 位は設定ミスです。WordPress では、サーバーや WordPress 自体の設定の不備がここに当たります。コードの問題ではなく「設定を直すだけで塞げる穴」なので、優先的に取り組む価値があります。

具体的には、サイト全体を HTTPS で常時化する、デバッグ表示を本番で無効にする、エラー画面に内部情報を出さない、不要なファイル一覧の公開を止める、といった項目です。WordPress のバージョンを外部から読み取られないようにするのも、攻撃者に手がかりを与えない基本対策の一つです。

あわせて整えたいのが、ブラウザに安全な扱いを指示するセキュリティヘッダーです。HSTS や CSP（Content Security Policy）などを設定しておきます。なお、クリックジャッキング対策の X-Frame-Options は CSP の frame-ancestors ディレクティブにより obsolete 扱いとなったため、新規実装では frame-ancestors を優先します。設定が正しいかは securityheaders.com などの評価ツールで確認できます。

6. セキュリティプラグインの正しい位置づけ

「セキュリティプラグインを入れたから安心」という考え方には注意が必要です。セキュリティプラグインは補助としては有用ですが、それだけで対策が完了するわけではありません。

理由は、ここまで挙げた 4 つの基礎 — プラグインの整理、更新、アクセス制御、サーバー設定 — のほとんどが、プラグイン任せにできない運用と設計の問題だからです。OWASP Top 10:2025 の上位であるアクセス制御の不備と設定ミスは、まさにこの領域に属します。さらにセキュリティプラグイン自体も「追加した部品」であり、それが脆弱性を持つ可能性もゼロではありません。

正しい順序は、まず 4 つの基礎を固め、そのうえでセキュリティプラグインを上乗せすることです。日本では IPA「安全なウェブサイトの作り方」第 7 版（2026 年現在も現行版）が、こうした基礎的な脆弱性対策を体系的に解説しています。

【Top 5】WordPress で最低限やること

1. プラグインを整理する — 使用中・更新継続・出所信頼の 3 点で棚卸し。使っていないものは削除。
2. 更新を放置しない — バックアップ → 試験環境 → 本番の手順を整え、自動更新も活用する。
3. アクセス制御を固める — OWASP 1 位。管理者名・パスワード・二要素認証・権限の最小化。
4. サーバー設定を整える — OWASP 2 位。HTTPS 常時化・デバッグ表示の停止・セキュリティヘッダー。
5. セキュリティプラグインは「上乗せ」 — 基礎を固めた後の補助。入れただけで完了ではない。

WordPress を安全にするのは、高価なツールではなく基礎の徹底です。リスクの 91% が「自分で入れた部品」にある以上、対策の主役は運用と設計です。T.C.HARTON は方法論ページで、自社サイトのセキュリティ実装内容を公開しています。

よくある質問

WordPress のコア本体は安全ですか？: コア本体のリスクは相対的に小さいと言えます。Patchstack の 2025 年レポートでは、報告された新規脆弱性 11,334 件のうちコア本体はわずか 6 件で、いずれも低優先度でした。91% はプラグイン、9% はテーマ起因です。ただしコアも更新を放置すると将来の脆弱性にさらされるため、自動更新を有効にしておくのが基本です。
プラグインは何個までなら安全ですか？: 「何個まで」という安全な上限はありません。重要なのは数そのものより、一つひとつが「いま実際に使われているか」「更新が継続されているか」「出所が信頼できるか」です。使っていないプラグインは個数に関わらず削除します。攻撃される面積は、有効・無効を問わずインストールされている部品の数で決まります。
有料プラグインやテーマなら安全ですか？: 有料であることは安全性を保証しません。Patchstack の 2025 年データでは、テーマ起因の脆弱性も全体の 9% を占めており、有料テーマも例外ではありません。判断基準は価格ではなく、開発元が脆弱性報告に迅速に対応し、更新を継続しているかどうかです。
更新するとサイトが壊れそうで怖いです。どうすればよいですか？: 更新を止めることは、既知の脆弱性を放置することと同じで、より大きなリスクになります。現実的な進め方は、更新前にバックアップを取る、可能ならステージング環境で先に試す、そのうえで本番に適用する、という手順です。怖いから更新しないのではなく、安全に更新できる手順を整えるのが正しい対処です。
セキュリティプラグインを入れれば対策は完了しますか？: セキュリティプラグインは補助にはなりますが、それだけで完了とは言えません。OWASP Top 10:2025 の上位はアクセス制御の不備と設定ミスで、これらはプラグイン任せにできない運用と設計の問題です。プラグインの整理・更新・アクセス制御・サーバー設定という基礎を固めたうえで、セキュリティプラグインを上乗せするのが正しい順序です。

出典

Patchstack, State of WordPress Security in 2025 — patchstack.com/whitepaper/state-of-wordpress-security-in-2025
OWASP, OWASP Top 10:2025 — owasp.org/Top10/2025/
OWASP, OWASP Secure Headers Project — owasp.org/www-project-secure-headers
MDN Web Docs, X-Frame-Options — developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/X-Frame-Options
IPA, 安全なウェブサイトの作り方（第 7 版） — ipa.go.jp/security/vuln/websecurity/about.html

Free Diagnosis

あなたの WordPress サイト、基礎は固まっていますか？

無料診断では、現状サイトの HTTPS 設定・セキュリティヘッダー・公開情報の露出などを機械検証し、4 つの基礎のどこに穴があるかをお見せします。プラグインを入れる前に、土台を確認しましょう。診断だけで終わっても費用は一切かかりません。

1 分で無料診断を申し込む